Dépannage des erreurs SSL

Corrigez les erreurs SSL courantes observées lors de la navigation vers un domaine traité par proxy via Cloudflare.


Présentation

Jusqu’à ce que Cloudflare fournisse un certificat SSL pour votre domaine, les erreurs suivantes apparaissent dans différents navigateurs pour le trafic HTTPS :

Firefox

     ssl_error_bad_cert_domain
     Cette connexion n’est pas fiable

Chrome :

     Votre connexion n’est pas privée

Safari

     Safari ne peut pas vérifier l’identité du site Web

Edge / Internet Explorer

     Il y a un problème avec le certificat de sécurité de ce site Web

Même avec un certificat SSL Cloudflare configuré pour votre domaine, les anciens navigateurs affichent des erreurs concernant les certificats SSL non approuvés car ils ne prennent pas en charge le protocole SNI (Server Name Indication) utilisé par les certificats Universal SSL de Cloudflare.

Si des erreurs SSL se produisent lors de l’utilisation d’un navigateur plus récent, examinez les causes d’erreurs SSL courantes :


Erreurs de boucle de redirection ou erreurs HTTP 525 ou 526

Symptôme

Les visiteurs rencontrent les erreurs de boucle de redirection lors de la navigation sur votre domaine, ou observent les erreurs HTTP 525 ou 526. Ces erreurs se produisent lorsque l’option SSL actuelle dans l’application SSL/TLS de Cloudflare n’est pas compatible avec la configuration de votre serveur Web d’origine.

Résolution

Pour les boucles de redirection, reportez-vous à notre guide sur le dépannage des erreurs de boucle de redirection.

Pour résoudre les erreurs HTTP 525 ou 526, reportez-vous à nos configurations SSL recommandées ci-dessous. Par exemple, si votre serveur Web d’origine :

  • dispose de certificats SSL auto-signés, utilisez l’option SSL Full ;
  • ne dispose d’aucun certificat SSL, utilisez l’option SSL Flexible.

Seuls certains de vos sous-domaines renvoient des erreurs SSL

Symptôme

Les certificats Universal SSL et Dedicated SSL standard de Cloudflare ne couvrent que le domaine de niveau racine (exemple.com) et un niveau de sous-domaines (*.exemple.com). Si les visiteurs de votre domaine constatent des erreurs lors de l’accès à un deuxième niveau de sous-domaines dans leur navigateur (tel que dev.www.exemple.com) mais pas au premier niveau de sous-domaines (tel que www.exemple.com), corrigez le problème en appliquant l’une des méthodes ci-dessous.

Résolution

  • Assurez-vous que le domaine figure au moins sur une offre Business Plan et chargez un certificat SSL personnalisé couvrant dev.www.exemple.com.
  • Achetez un certificat Dedicated SSL avec des noms d’hôte personnalisés couvrant dev.www.exemple.com.
  • Si vous disposez d’un certificat valide pour les sous-domaines de second niveau sur votre serveur Web d’origine, cliquez sur l’icône de nuage orange à côté du nom d’hôte dev.www dans l’application DNS de Cloudflare pour exemple.com.

Votre certificat Universal SSL de Cloudflare n’est pas actif

Symptôme

Un certificat Universal SSL est fourni pour chaque domaine Cloudflare actif. Si vous constatez des erreurs SSL et que vous n’avez pas de certificat de Type Universal dans la section Edge Certificates de l’application SSL/TLS de Cloudflare pour votre domaine, alors le certificat Universal SSL n’a pas encore été configuré.

Les certificats SSL Cloudflare ne s’appliquent qu’au trafic traité par proxy via Cloudflare. Si les erreurs SSL ne se produisent que pour les noms d’hôte non traités par proxy via Cloudflare, utilisez un proxy pour ces noms d’hôte via Cloudflare :
  • Pour les domaines sur les configurations DNS complètes, cliquez sur l’icône de nuage gris à côté du nom d’hôte DNS dans votre application DNS Cloudflare jusqu’à ce que l’icône de nuage devienne orange.
  • Pour les domaines sur les configurations CNAME, consultez notre guide sur l’ajout d’enregistrements DNS à une configuration CNAME.

Nos fournisseurs SSL vérifient chaque demande de certificat SSL avant que Cloudflare puisse émettre un certificat pour un nom de domaine. Ce processus peut durer de 15 minutes à 24 heures. Nos fournisseurs de certificats SSL signalent parfois un nom de domaine pour une révision supplémentaire.

Résolution

Si votre domaine est sur une configuration CNAME :

Vérifiez si les enregistrements DNS CAA sont activés chez votre fournisseur d’hébergement actuel. Si c’est bien le cas, assurez-vous de spécifier les autorités de certification utilisées par Cloudflare pour fournir des certificats à votre domaine.

Si Universal SSL est désactivé sur votre domaine dans la section Désactiver Universal SSL de l’application SSL/TLS de Cloudflare :

Si votre certificat SSL Cloudflare n’est pas délivré dans les 24 heures suivant l’activation du domaine Cloudflare :

En suspendant provisoirement Cloudflare, le trafic HTTPS sera correctement servi à partir de votre serveur Web d’origine pendant que l’équipe du support étudie le problème.


Erreur de réponse OCSP

Symptôme

Les visiteurs de votre site constatent une erreur de réponse OCSP.

Résolution

Cette erreur est due à la version du navigateur ou à un problème nécessitant l’assistance de l’un des fournisseurs SSL de Cloudflare. Afin de diagnostiquer le problème correctement, ouvrez un ticket auprès du support avec les informations suivantes fournies par le visiteur qui rencontre l’erreur de navigateur :

  1. Le résultat de https://aboutmybrowser.com/
  2. Le résultat de la requête https://exemple.com/cdn-cgi/trace à partir du navigateur du visiteur. Remplacez exemple.com par le nom de domaine de votre site Web.

SSL expiré ou erreurs d’incompatibilité SSL

Symptôme

Les visiteurs constatent des messages d’erreur dans leur navigateur concernant l’expiration ou l’incompatibilité SSL.

Résolution

Si vous utilisez un certificat SSL personnalisé, vérifiez d’abord qu’il n’a pas expiré ou remplacez le certificat SSL.

Contactez le support de Cloudflare et fournissez les informations suivantes :

  • Le nom de domaine affecté.
  • Une capture d’écran des erreurs que vous observez.

Ressources associées

Vous n'avez toujours pas trouvé ce que vous cherchez ?

95% des questions peuvent être répondues en utilisant l'outil de recherche. C'est le moyen le plus rapide d'obtenir une réponse.

Réalisé par Zendesk